Apache OFBiz路径遍历漏洞(CVE-2024-36104)

最新推荐文章于 2025-10-28 10:00:00 发布
原创 最新推荐文章于 2025-10-28 10:00:00 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#apache

部署运行你感兴趣的模型镜像

0x01 漏洞描述

Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。

Apache OFBiz 18.12.14之前版本存在命令执行漏洞 ,该漏洞源于ControlFilter对路径限制不当导致用户能够访问ProgramExport导出功能执行Groovy代码。

0x02 影响版本

Apache OFBiz < 18.12.14

0x03 FoFa语句

app="Apache_OFBiz"

0x04 漏洞复现

知识星球

无垠Sec专注安全研究,包括但不限于代码审计、漏洞挖掘、思路分享等。目前仅需50,你就能得到常见系统1day漏洞POC、代码审计、漏洞分析、漏洞挖掘等

您可能感兴趣的与本文相关的镜像

PyTorch 2.6

PyTorch 2.6

PyTorch
Cuda

PyTorch 是一个开源的 Python 机器学习库,基于 Torch 库,底层由 C++ 实现,应用于人工智能领域,如计算机视觉和自然语言处理

Apache OFBiz 路径遍历导致RCE漏洞复现(CVE-2024-36104
0xSec
06-04 2957
Apache OFBiz 18.12.14之前版本存在命令执行漏洞,该漏洞源于org.apache.ofbiz.webapp.control.ControlFilter类对路径(请求URL中的特殊字符(如 ;、%2e)限制不当导致攻击者能够绕过后台功能点的过滤器验证,并通过/webtools/control/ProgramExport接口的编程导出功能执行任意Groovy代码获取系统权限。
Apache OFBiz 未授权远程代码执行漏洞CVE-2024-45195)
iSee857的博客
09-08 1388
Apache OFBiz是⼀个著名的电⼦商务平台,提供了创建基于最新 J2EE/ XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应⽤服务器的多层、分布式电⼦商务类WEB应⽤系统的框架。Apache OFBiz 18.12.16 之前版本中,由于Web 应用程序中缺少视图授权检查,未经身份验证的远程威胁者可构造恶意请求写入恶意文件导致远程代码执行,从而获取服务器权限。在服务器上启动一个python http服务用以 请求发送。服务器上启的http服务收到访问链接。访问下列接口进行RCE验证。
【春秋云境】CVE-2024-45195 Apache OFbiz从未授权到RCE
最新发布
HMX404的博客
10-28 355
摘要: 本文介绍了Apache OFBiz系统的安全漏洞利用过程,针对未完全修复的身份验证绕过问题进行攻击。作者提供了详细的攻击步骤,包括使用605字符的webshell脚本和XML配置文件,通过viewdatafile接口将恶意文件写入系统。攻击成功后可在/webapp/accounting/shell.jsp路径执行任意命令。文章还提供了免费端口映射方案(FRP/cpolar)和XML配置解析说明,特别强调了length字段需要与webshell实际字符数严格匹配以避免上传失败。
【春秋云境】CVE-2024-36104 Apache OFBiz 目录遍历致代码执行漏洞
HMX404的博客
10-27 434
Apache OFBiz存在目录遍历漏洞可导致代码执行。攻击者可通过构造恶意POST请求,利用ProgramExport接口执行系统命令。实验表明,将POC中的groovyProgram参数进行Unicode编码后发送请求,成功读取服务器上的flag文件
【已复现】Apache OFBiz 路径遍历漏洞(CVE-2024-36104)安全风险通告
smellycat000的专栏
06-06 1108
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Apache OFBiz 路径遍历漏洞漏洞编号QVD-2024-21464,CVE-2024-36104公开时间2024-06-02影响量级万级奇安信评级高危CVSS 3.1分数9.8威胁类型代码执行利用可能性高POC状态已公开在野利用状态未发现EXP状态已公开技术细节状态已公开危害描述:未授权的攻击者可以通过构造恶意请求绕过认证,进⽽访...
Catalyze安全知识库
mashiro_hibiki的博客
05-21 478
高质量安全知识星球社区,致力于漏洞挖掘,渗透技巧,安全资料,星球承诺会持续更新0/1/NDay及对应的批量利用工具,团队内部漏洞库,内外网攻防技巧,你所需要的各类安全工具和资料以及团队师傅们最新的学习研究成果。分享行业内最新动态,解答交流各类技术问题。涉及方向包括Web渗透、免杀绕过、红蓝攻防、代码审计、应急响应、安全培训、CTF、小白入门、职业规划和疑难解答。
Apache OfBiz 反序列化命令执行漏洞CVE-2020-9496)漏洞
weixin_48413667的博客
09-10 1264
一、软件介绍 Apache OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等。 二、漏洞描述 Apache OFBiz在17.12.04版本之前的XMLRPC接口存在一处反序列化漏洞
漏洞复现】Apache OFBiz 路径遍历导致RCE漏洞(CVE-2024-36104)
qq_67810151的博客
06-07 1069
Apache OFBiz是一个功能强大、易于定制和扩展的开源ERP系统,适用于各种类型的企业。通过利用最新的技术标准和开源项目,Apache OFBiz为企业提供了一个高效、稳定、灵活的电子商务平台解决方案。
#渗透测试#批量漏洞挖掘#Apache OFBiz代码执行漏洞(CVE-2024-38856)
soc的博客
02-17 1336
Apache OFBiz是美国阿帕奇(Apache)基金会的一套企业资源计划(ERP)系统。该系统提供了一整套基于Java的Web应用程序组件和工具。Apache OFBiz 18.12.14及之前版本存在安全漏洞,该漏洞源于存在授权错误漏洞,从而导致未经身份验证的端点可执行屏幕渲染代码。
Apache-OFBiz远程代码执行漏洞(CVE-2024-45195)
swordheart的博客
05-15 335
Apache OFBiz存在一个严重的远程代码执行漏洞CVE-2024-45195),该漏洞源于SSRF(服务器端请求伪造)问题,允许未经身份验证的远程攻击者通过控制请求来写入恶意文件。
Apache OFBiz 10.04.05 发布,安全漏洞修复
weixin_33957648的博客
01-21 124
"Apache OFBiz 10.04.05" 是一个 bugfix 版本,建议升级,因为该版本修复了安全漏洞 (CVE-2013-0177) OFBiz 是开放的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务 器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套...
漏洞预警 | Apache OFBiz 服务端模板注入漏洞CVE-2025-26865)
C20220511的博客
03-14 672
Apache OFBiz 是一个 开源的企业资源规划(ERP)系统 ,由 Apache 软件基金会维护。它旨在帮助企业整合和管理核心业务流程,支持从供应链管理、财务管理到客户服务的全方位业务需求。据描述,由于 Apache OFBiz 插件的特殊字段使用不当导致 freemarker 模板引擎注入,攻击者可以精心构造特殊请求,注入恶意的代码,导致任意代码执行,进而威胁整个服务器安全。近日,Apache OFBiz 发布更新修复 freemarker 模板注入漏洞CVE-2025-26865)。
速修复!开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞
smellycat000的专栏
03-23 243
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队上周五,Apache Software 基金会修复了 Apache OFBiz 中的一个高危漏洞,本可导致未认证攻击者远程控制...
漏洞情报 | Apache OFBiz 远程代码执行漏洞
爱国小白帽
03-22 664
0x01 漏洞描述 OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 近日,360漏洞云监测到Apache OFBiz官方披露了Apache OFBiz远程代码执行漏洞的安全通告,该漏洞出现在ofbiz/base/util/SafeObjectInputStream.java中,该功能为框架中的通用序列化处理类,未经身份验证的攻击者可构造恶意请求.
Apache ofbiz RMI远程代码执行漏洞复现(CVE-2021-26295)
小小猪的博客
12-18 2106
Apache ofbiz RMI远程代码执行漏洞复现(CVE-2021-26295) 介绍: OFBiz是一个非常著名的电子商务平台,是一个非常著名的开源项目,提供了创建基于最新J2EE/XML规范和技术标准,构建大中型企业级、跨平台、跨数据库、跨应用服务器的多层、分布式电子商务类WEB应用系统的框架。 OFBiz最主要的特点是OFBiz提供了一整套的开发基于Java的web应用程序的组件和工具。包括实体引擎, 服务引擎, 消息引擎, 工作流引擎, 规则引擎等,OFBiz 已经正式成为 Apache
Apache-OFBiz存在路径遍历导致RCE漏洞(CVE-2024-36104)
swordheart的博客
05-15 549
ApacheOFBiz是一个由Apache基金会开发的企业级电子商务平台,支持跨平台、跨数据库和跨应用服务器的多层分布式应用。该系统基于Java,提供了一系列Web应用程序组件和工具。然而,ApacheOFBiz 18.12.14之前的版本存在一个严重的命令执行漏洞
Apache 修复严重的 OFBiz 远程代码执行漏洞
smellycat000的专栏
09-06 481
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Apache 修复了 OFBiz 软件中的一个严重漏洞,可导致攻击者在易受攻击的 Linux 和 Windows 服务器上执行任意代码。OFBiz 是一款客户关系管理 (CRM) 和企业资源规划 (ERP) 商业应用套件,可被用于开发 web 应用的基于Java 的web 框架。该漏洞的编号是CVE-2024-45159,由 Rapid7 安全研...
CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现
Shadow_DAI_990101的博客
08-23 3730
CVE-2020-9496 Apache OFBiz XML-RPC反序列化漏洞复现
CVE-2024-36104
08-05
CVE-2024-36104 是一个影响 Apache OFBiz 的严重安全漏洞,该漏洞源于 Apache OFBiz 18.12.14 之前版本中 `org.apache.ofbiz.webapp.control.ControlFilter` 类对请求 URL 中的特殊字符(如 `;`、`%2e`)限制不当。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值